目录

阿里云AccessKey泄露以及nacos1.4.2漏洞修复

起因:每隔一段时间阿里云就会报AccessKey泄露了,但是并没有在代码中写AccessKey,后来发现在nacos中多了个新用户,是之前没有添加过的

排查:

1.检查是否开启了鉴权

查看配置文件application.properties

复制代码
# 是否开启授权
nacos.core.auth.enabled=true

开启授权为true,无需修改,排除

2.检查是否使用默认的token.secret.key

复制代码
# 默认访问密钥
nacos.core.auth.default.token.secret.key={需要修改}

也已经修改了(默认值为:SecretKey012345678901234567890123456789012345678901234567890123456789),且使用了默认值构造JWT来调用接口/nacos/v1/auth/users?pageNo=1&pageSize=9,调用失败,证明也不是这个默认值的问题,排除

3.检查是否因为请求头添加了参数User-Agent: Nacos-Server

报权限错误,排除

4.真正原因,默认的serverIdentity和security

就没有修改或者配置这两个值,导致可以使用这两个值来进行新增用户的调用

复制代码
# 这两个值就是个serverIdentity和security,如果没有配置,其默认值也是serverIdentity和security
nacos.core.auth.server.identity.key=serverIdentity
nacos.core.auth.server.identity.value=security

尝试调用:

获取用户:调用成功

新增用户:成功

解决方法:设置这两个配置的值,不使用默认值

复制代码
nacos.core.auth.server.identity.key={新的值}
nacos.core.auth.server.identity.value={新的值}

设置了新的值之后:新增用户失败了

至此,解决了

本文是转载文章,点击查看原文
如有侵权,请联系 xyy@jishuzhan.net 删除
相关推荐
XINVRY-FPGA2 小时前
Xilinx FPGA XCVC1902-2MSEVSVA2197 Versal AI Core系列芯片的详细介绍
人工智能·嵌入式硬件·5g·ai·fpga开发·云计算·fpga
你觉得2051 天前
浙江大学朱霖潮研究员:《人工智能重塑科学与工程研究》以蛋白质结构预测为例|附PPT下载方法
大数据·人工智能·机器学习·ai·云计算·aigc·powerpoint
久违の欢喜1 天前
《云端变革:云计算重塑现代企业架构的实践之路》
架构·云计算
Linux运维老纪1 天前
运维之 Centos7 防火墙(CentOS 7 Firewall for Operations and Maintenance)
linux·安全·centos·云计算·运维开发·火绒
yuzhangfeng2 天前
【云计算物理网络】从传统网络到SDN:云计算的网络演进之路
网络·云计算
ZStack开发者社区2 天前
全球化2.0 | ZStack举办香港Partner Day,推动AIOS智塔+DeepSeek海外实践
人工智能·云计算
久违の欢喜2 天前
《云计算:核心驱动力》
云计算
yuzhangfeng2 天前
【云计算物理网络】数据中心网络架构设计
网络·云计算
久违の欢喜2 天前
《云计算:一场静悄悄的革命》
云计算